攻击者利用Discord Webhook通过npm、PyPI和Ruby软件包构建隐蔽C2通道
💡
原文中文,约1600字,阅读约需4分钟。
📝
内容提要
网络安全研究人员发现,网络犯罪分子利用Discord webhook作为隐蔽的命令与控制通道,渗透npm、PyPI和RubyGems等平台,窃取开发者敏感文件。恶意软件包通过重写安装命令,悄然将数据发送至攻击者控制的webhook,从而规避检测,导致数据泄露。
🎯
关键要点
- 网络犯罪分子利用Discord webhook作为隐蔽的命令与控制通道。
- 恶意软件包渗透npm、PyPI和RubyGems等平台,窃取开发者敏感文件。
- webhook提供免费且隐蔽的数据外传渠道,隐藏在合法的HTTPS流量中。
- 最早发现的恶意模块为mysql-dumpdiscord,扫描配置文件并发送内容至Discord webhook。
- 攻击者通过重写安装命令实现数据窃取,规避检测。
- PyPI平台上的malinssx软件包重写install命令,发送通知消息至Discord webhook。
- RubyGems平台的sqlcommenterrails版本收集主机元数据并发送至webhook。
- 恶意软件包利用安装时钩子实现持久化和隐蔽性,早期执行敏感数据外泄。
- 利用Discord基础设施可规避静态白名单的怀疑,成为隐蔽的数据管道。
➡️
